摘要:目前的车联网采用基于TCP/IP协议的网络架构,而IP网络体系面向主机的端对端通信机制运用在车载环境下具有很大的局限性,导致车联网始终不能在实际生活中全面部署和应用。数据命名网络(Named Data Networking,NDN)是一种以内容为中心的未来网络架构,是信息中心网络的一种。它对于车载网络环境而言是绝佳的一种选择,缓存机制和智能转发策略可以解决当前基于TCP/IP的车联网存在的问题。NDN作为一种未来网络架构,在安全性方面,传统的DoS攻击虽然很难奏效,但面临着新的安全问题,如Interest泛洪攻击和缓存污染等。这些方面的探索目前仍处在较初级的阶段,因此拟对基于NDN的车联网的安全特性进行研究,探索针对NDN网络的攻击方法及漏洞,并设计解决方案。
0 引 言
车联网是21世纪的新兴产业,主要通过各类无线通信技术使车辆实现网络互联,从而实时监控车辆运行状况,提供智能动态信息服务,有利于交通部门实行智能化交通管理和车辆智能化控制,以减少安全事故,提高交通效率。中国作为一个汽车年销售量达到2 376.44万辆的汽车大国,对于全球车联网发展的影响不言而喻。近年来,车联网随着“互联网+”时代的到来,逐渐进入快速发展时期,意味着基于车联网的应用相对于从前将会更加丰富多样,如智能动态信息服务、智能交通管理等。如何快速获取想要的信息,成为人们越来越关注的问题。而对于车联网而言,高效的内容获取与分发成为未来研究的一大课题。但是,传统的基于TCP/IP协议的网络架构并不能满足车联网应用需求的改变及车联网多样化的通信环境。
1 研究意义
基于TCP/IP的车联网主要在以下几个方面存在问题:
(1)移动性支持差:车辆工作在一个极端高动态的环境下,这一特性要求通信技术能够在高动态环境下及时适应网络的动态变化,以此解决网络中存在的间歇性连接问题。车联网中每个节点的不断移动会导致路由表维护代价很高,因为每一次节点的移动都需要路由表持续更新,尤其在大型车联网环境下路由表的持续更新会引起很大开销;节点的移动会造成会话的重新连接,若有中间节点传输失败,则会面临丢包的风险。
(2)网络安全和隐私得不到保障:汽车在接入车联网网络的同时,意味着信息的安全性和车主的隐私得不到有效保障。在车联网环境下,所有车辆以及车主信息随时随地都在网络中交互,给不法分子提供了窃取、干扰甚至修改信息的可乘之机,对车联网系统的安全性是一个不容忽视的问题。而车主也可能因为隐私信息的泄露而遭到骚扰、敲诈、盗窃甚至定向攻击,带来困扰和安全隐患。
(3)数据分发能力弱:IP网络在应用层缓存数据的策略是将整个数据对象缓存,但是这种策略在车联网中工作效率相当低。比如,网络中传输一个大容量的图像或视频文件,往往需要将其分割成多个网络数据包进行传送。而在Ad Hoc环境下,节点很有可能在所有的网络数据包传送到目的节点前发生拓扑变化,意味着之前接收到的数据包都是无效的,所有内容需要重传,造成了极大浪费。
(4)转发策略单一,路由效率低:车联网中的IP路由到每个目的地只有一条既定路径,网络节点收到数据包后既不存储也不保留,立刻进行转发到下一节点,路径往往是不对称的,导致很难同时基于不同的服务质量来衡量和比较运营商的性能和能力。IP网络中路由算法决定了下一个数据包的传送目的地,遇到网络拥塞和中断时,除非人为干预,基本无法通过智能转发策略尝试其他路径。但是,实际应用中,对数据获取的性能要求与具体的应用有关,IP网络这种单一的转发路径无法有效满足不同应用的不同需求。
车联网存在的以上问题严重限制了它的发展,而命名数据网络(Named Data Networking)体系架构是一种以内容为中心的未来网络架构,使用数据名字而不是IP地址进行数据通信,对于具有高动态特性的车载网络环境而言是一种有着天然兼容性的网络架构,可充分利用无线信道的广播本质,高效应对物理移动和逻辑移动,应对网络拓扑结构的变化。
NDN的主要想法是数据对象的请求将被路由到网络中对象发布者的位置。在向源节点转发请求的中间节点的缓存中,同时检查是否存在所请求的数据的拷贝,一旦找到一个信息对象的实例(源数据自身或者它的缓存副本),数据将按照数据请求的原路返回数据[1]。为了应答更多针对该数据对象的请求,在整个返回路径上的每个节点缓存中都暂时保存(直到缓存替换)数据对象的一个副本,如图1所示。
NDN主要是由数据的消费者驱动,有两种类型的包:Interest和Data。Interest包含消费者所要请求数据内容的名字,Data包含消费者所请求的具体内容。当消费者有数据需求时,会广播Interest包。传输过程主要由路由中的三个表完成存储转发等工作,分别是CS、PIT、FIB。路由节点尽量将发回的Data存储在CS中,以便回应后续的请求相同名字的Interest。PIT则负责记录已经转发但是尚未被响应的Interest以及它所到达的接口等信息。当响应的Data到达路由节点时,可以根据PIT中记录的信息准确快速地到达数据请求者。当响应的数据包根据PIT表项成功到达数据请求者,或者该Interest的生存时间已过,那么这个条目会被删除。NDN的转发机制如图2所示。
总结来说,基于NDN实现车联网针对它所存在的问题具有如下优势:
(1)移动性支持更优:NDN天然集成了对移动网络的支持,以数据请求驱动方式,通信过程不关注网络的类型,极大地简化了移动应用系统的设计。NDN节点上的应用程序可以无缝地利用多路底层网络传输接口平行寻址找寻目标数据,无需了解实际上使用了哪个底层网络接口,也可以同时从多个网络接口中获取数据,提高稳定性和获取能力。除此之外,NDN允许本地副本进行检索,而不需要唯一地从初始数据源获取,可以说在本质上实现了内容的多寻址。路由器缓存可以为每个请求增加一些潜在的终点,自然地融入对移动网络中获取数据失败的冗余机制,以显著提高网络性能。
(2)数据和网络安全性高:NDN强制要求发布者对数据内容进行签名,以此保证数据内容的可靠性和完整性,建立专门的内容安全层面作为一个屏障,提供逻辑性更合理、机制上更完善的数据和网络安全保障机制。这种将数据安全性从主机移到数据本身的变化对移动网络安全意义非常重要。
(3)网络缓存增强车联网数据分发能力:由于在NDN网络中,每个数据包都以名字命名并携带了生产者的数字签名,网络中任何一个缓存有被请求数据的节点都可以作为内容提供者,满足消费者的数据消费请求。NDN的缓存功能可以提高车载网络环境下的数据分发能力,还有利于提高复杂环境下的抗干扰能力,同时平滑网络切换带来的性能损失。
(4)有策略地获取数据:不同的应用对数据内容获取的性能要求不同。NDN网络针对不同的应用可以制定不同的转发策略。转发策略的智能性还可以体现在:控制Interest请求的转发速率,根据优先级对Interest按顺序转发,或者通知下游节点停止通过此接口转发Interest。由于路由层面存在的转发策略,使得整个网络在网络层面变得更加智能,能够更灵活地处理诸如拥塞控制、网络攻击等问题。
由于最基础的IP网络体系架构并不适用于车载网络环境,虽然有很多针对车联网高动态特性的路由算法被提出,但是车联网在实际部署与应用中依旧不顺利。而NDN网络以内容为中心的特点改变了传统TCP/IP网络的以IP地址为中心的现状,对于车联网环境复杂、高动态、易受攻击等缺陷具有天然的兼容性。将NDN应用于车联网,对大范围部署车联网,实现交通智能化促进社会经济发展,具有非常重要的意义。
而无论对于当下或者未来的车联网来说,安全都是它所需考虑的首要问题。近年来,车联网安全遭受威胁的消息屡见不鲜,也是制约它发展的重要因素之一。切诺基的“Uconnect”系统曾经被黑客入侵,黑客可以通过该系统远程控制汽车的动力和制动系统,还有电台及雨刷等设备;BMW的ConnectedDrive数字服务系统,黑客可以通过该系统远程打开BMW系列汽车的车门;特斯拉也在其车联网安全性实验Model S入侵测试中,找出了可以在车辆行驶过程中关闭引擎系统的入侵方法[2]。
基于NDN的车联网虽然在其他方面已经逐渐趋于成熟,但是在信息安全与用户隐私方面还需要一定的研究与提高。NDN网络架构相对于传统的TCP/IP协议网络而言,所传输的Interest包与Data包不会携带有关用户的位置和身份信息,具有一定的安全优势。但是,实际应用过程中,它仍然会遭受很多网络攻击与入侵,侵害使用者的权益。比如,兴趣包泛洪攻击发动难度小且危害巨大[3],若是基于NDN的车联网遭受兴趣包泛洪攻击,很容易使得车辆节点或某一区域的车辆陷入瘫痪状态,威胁人们的人身及财产安全,破坏社会秩序。若未来NDN网络兴起,将会有更多不法分子瞄准这个新兴网络架构的黑色利益,针对NDN网络设计新型的入侵及攻击方案。所以,提前研究NDN网络的安全性,寻找安全漏洞并设计解决方案,对于未来NDN网络和基于NDN的车联网的覆盖应用具有重大意义。
2 国内外研究现状及发展趋势
2.1 车联网研究现状
近几年,车联网逐渐走入人们的视野,且随着无人驾驶技术和物联网的蓬勃发展,国内外的新一轮科技创新和产业发展均包含与车联网相关的项目。在这种大环境下,国内外的各大互联网巨头首先在无人驾驶、车联网领域进行投资与研究。此外,传统的汽车制造公司也整合资源,依托自身的硬件资源优势进军这些领域,正在催生大量新技术、新产品、新服务。
从国内外的研究及发展状况来看,制约车联网发展的主要是现有的IP体系不适用于高动态的车载网络环境,而命名数据网络作为一种新兴的以内容为中心的未来网络架构,能够从根本上解决车联网与现有网络架构不兼容问题。而基于信息中心网络以及命名数据网络的车联网现在是突破车联网瓶颈的研究热点。国内外的各大高校、研究机构以及车联网团队,都在积极探索这种全新的车联网模式,也取得了一定的研究成果,后续将会投入使用进行产品的实际应用检验。而对它的安全性探索仍处在较初级阶段,需要未来通过大规模实验进行验证。
2.2 NDN研究现状
当今互联网无论是从应用需求还是背景而言,相对于互联网诞生之初都已经发生了翻天覆地的变化,而命名数据网络也是为了解决这一问题诞生的。互联网设计的初衷是为了进行计算机资源共享,而从互联网诞生到现在已经过去了50多年,计算机资源共享早已经不是它的主要应用需求了。从当今的发展趋势来看,对数据的获取与分发成为当今互联网的主要应用需求。但是,应用需求的变化并没有推动互联网体系结构的改变,当今互联网仍然采用主机-主机的通信模式。主机-主机的通信模式对于当今人们对互联网的应用需求而言,存在很多不足,并且这些不足在人们日常使用互联网的过程中日渐显现。例如,要获取互联网中的某项数据,必须先与互联网中的某台设备建立连接,而不能直接获取所想要的数据。面对应用需求改变而暴露出的种种互联网问题,命名数据网络应运而生。
命名数据网络是信息中心网络的一种,在2010年被提出,最初是UCLA所领导的一个基础研究信息中心网络项目,获得了来自美国国家基金的近800万美元支持。该项目共有来自美国的12所高校以及研究机构参加。因为NDN相对于其他ICN架构如DONA、PSIRP、Netinf等理念的先进性、方案的可行性和实质性进展,使其脱颖而出,大有成为未来网络体系架构主流的趋势,目前也吸引了众多高校以及科研机构的关注,近年取得了很多跨越式的成果。在SIGCOMM和INFOCOM顶级国际网络会议分别连续举办了两次专门与NDN相关的专题研讨会后,2014年9月初,第一届ACM ICN会议在巴黎举办。会议文章归属于SIGCOMM工作组,其中80%以上的发表论文都是基于NDN的研究框架。乐观地预计,如果NDN项目能进入实际实验网络部署阶段,很有可能成为继云计算、大数据、软件定义网络后,信息技术一个新的爆发点。这种预期是完全可期待的,因为NDN一旦走向实践阶段,将会促使整个互联网软件、硬件整体的升级换代。2013年8月在香港中文大学的SIGCOMM会议上,思科演示了该公司研制的第一个20 Gb/s NDN路由器;2014年9月,多家知名大学和供应商在UCLA宣布成立命名数据网络联盟,命名数据网络联盟成员包括UCLA等多个国家高校在内,还有英特尔、华为、阿尔卡特朗讯、高通思科和VeriSign等,标志着NDN的研究已经走出学术界,获得了行业支持。
NDN在最初架构设计中融入了对安全的考虑,提供了数字签名,可实现对内容完整性的保护,同时提供实现对内容完整性的的保护,同时提供作为内容来源的验证。在加密内容防止窃听方面,目前存在几种加密方式。选择合适加密方式的关键,是在安全性和和对缓存的复用性之间寻求一种平衡[4],同时保证加密所需的开销可接受。在信任管理方面,NDN可以选择继承IP网络下如SDSI/SPKI这种信任模型,也可以由应用程序设计符合自身应用特点的信任模型[5]。
在隐私问题方面,NDN面临着新的隐私问题,命名数据网络中的数据包会泄露发布者的身份隐私,因为数据命名网络为了保证数据的完整性与有源认证,在转发数据包之前,发布者会对数据进行签名,数据包中会包含发布者的签名验证信息。其次,如果是非机密的信息共享,攻击者可以通过简单的渠道获取消费者发出的兴趣包和获得的响应数据包,这样攻击者可以通过分析请求者行为习惯等,轻易获取请求者的某些隐私等[6]。
由于NDN自身的特性,传统的DoS攻击对NDN难以奏效[7],但NDN也面临着新的安全问题,即Interest泛洪攻击和缓存污染。这些攻击同样存在着相应的应对策略[8],但无论是攻击还是应对策略,这些方面的探索仍处在较初级阶段,需要未来通过大规模实验进行验证。
3 主要的安全威胁及对策
命名数据网络作为一种全新的网络架构,对于车联网而言有着天然的兼容性,而基于命名数据网络的车联网安全性关乎车主的财产甚至生命安全,更值得关注。由目前已知的安全隐患来看,它主要存在以下几个方面的研究课题。
3.1 用户隐私泄露
NDN网络虽然在IP网络的基础上很大程度提升了用户隐私的保护程度,但是依然存在三个方面的隐私问题,即缓存隐私、名称隐私和签名隐私。针对这些问题,拟设计出一种NDN下的匿名认证及通信机制,保证用户的个人信息不会在传输及路由过程中泄露及破译。
3.2 Interest泛洪攻击
在Interest泛洪攻击中,攻击者的目标是NDN下的路由器。攻击者操纵被攻破的机器产生大量密集的Interest,使得目标路由器PIT溢出,从而阻止路由器处理正常的Interest,同时使得某一内容的生产者陷入困境。针对它的这一特性,主要有两种应对方案:路由策略和推回机制。路由策略是在路由的环节限制上行端口转发Interest的数量或者下行端口接收的Interest数量,以及限制针对某个命名空间的要求[9]。推回机制是路由若怀疑某个命名空间下的前缀正受到攻击,则限制其数量,让路由器隔绝攻击源,并向其他路由报告。设计过程中将按照这个思路对Interest泛洪攻击进行防御机制的设计,并对其实际效果进行分析。
3.3 缓存污染
普遍缓存特性是NDN网络的重要特性之一,是NDN实现高效内容分发的关键之一。但是,普遍缓存特性使得NDN网络节点的缓存空间暴露NDN网络中,易于受到缓存污染(Cache Pollution Attack,CPA)的攻击。在缓存污染攻击中,攻击者按照某种分布规律持续地发送兴趣包请求,通过操纵兴趣包请求到达NDN中间节点的分布来改变NDN中间节点的缓存内容分布[10]。当中间路由节点的缓存空间被污染内容充满时,合法用户的兴趣包请求将无法命中NDN中间节点缓存,使得合法内容检索效率下降。当前,针对CPA的防御手段还比较少,传统互联网中也没有现成的缓存污染防御手段可以直接应用于NDN网络中,所以对CPA的探测和防御研究迫在眉睫。
4 结 语
对于车辆自组织网络而言,以内容为中心的命名数据网络具有天然的兼容性,可以解决传统TCP/IP网络下的车联网存在的种种问题,在移动性、数据分发能力等方面具有明显优势,而基于命名数据网络的车联网还存在着安全方面的种种挑战。
IP网络在安全性方面的措施重点在于对传输路径的保护,而不是数据本身。而NDN网络的每个数据包都是由生产者密钥加密签名的,确保了三个最基本的安全功能——数据的完整性、原产地认证和正确性。但是,NDN架构还没有完全解决其他一些问题,主要是隐私和信任。
关于隐私,兴趣包和数据包都不携带NDN中的消费者或生产者地址。源和目的地址的缺失有助于保护生产者和消费者的隐私。但是,其他类型的隐私仍然容易受到攻击,如姓名隐私、缓存隐私、内容隐私和签名隐私等。而关于信任,主要需要考虑特定内容的生产者相对应的公钥是否值得信任。
NDN作为一种未来网络架构,必须能提供更好的保护和恢复能力。它的自身架构解决了诸如更改、欺骗和几种类型的DoS攻击。尽管如此,仍然有其他专门针对NDN网络的攻击存在,如兴趣包泛洪攻击、缓存污染等。相信NDN技术在不久的将来将实现商业化,而基于NDN网络的车联网也会投入使用。
参考文献:
[1] 章铭.基于内容的未来网络命名与解析机制研究[D].北京:北京邮电大学,2014.
[2] 李馥娟,王群,钱焕延.车联网安全威胁综述[J].电子技术应用,2017,43(05):29-33,37.
[3] 于晔,李联峰,郭红纲.新一代互联网NDN面临的挑战及脆弱性分析[J].信息安全与通信保密,2014(03):123-127.
[4] 郑林浩,汤红波,葛国栋.内容中心网络中基于多样化存储的缓存污染防御机制[J].计算机应用,2015,35(06):1688-1692.
[5] 冯勇,梁浩.车载自组织网络中一种有效的匿名认证方法[J].计算机工程与应用,2010,46(23):126-128,226.
[6] Zeeshan H M,Fethi F.Large-scale Simulations and Performance Evaluation of Connected Cars-A V2V Communication Perspective[J].Simulation Modelling Practice and Theory,2017,21(02):72.
[7] 于亚芳,潘耘,王励成.命名数据网络中的DoS/DDoS攻击研究综述[J].信息技术,2017(06):78-82,87.
[8] Ertugrul D,Antonio C,Joaquim M.Identifying Previously Requested Content by Side-Channel Timing Attack in NDN[M].Springer International Publishing,2018.
[9] Shatarupa D,Bharat J R S,Navrati S,et al.Flooding Control in Named Data Networking[J].IETE Technical Review,2018,35(03):31-32.
[10]朱轶,糜正琨,王文鼐.内容中心网络缓存污染防御技术研究[J].南京邮电大学学报(自然科学版),2015,35(02):27-33.
作者简介:
李 彤,陆军装甲兵学院 信息通信系,博士,教授,主要研究方向为信息安全与对抗技术;
谢祝福,陆军装甲兵学院 信息通信系,硕士,主要研究方向为信息安全与对抗技术。
(本文选自《通信技术》2019年第一期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
